作者:小鱼2502907687 | 来源:互联网 | 2022-12-10 10:44
我们在asp.net asmx Web服务中发现了XML外部实体漏洞。
我们正在使用burp套件测试asp.net .asmx Web服务,以检查XML外部实体处理漏洞。参见:https :
//www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
我们看到当请求中包含DTD时,如下所示:
DNS请求被发送到cigitalcollaborator.com。这表明asmx Web服务正在处理请求中的DTD。
我们正在使用.net版本4.5.2。
根据此链接,对于.net 4.5.2及更高版本,应隐式阻止XXE漏洞:https ://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#.NET_4.5.2_and_later
但这不是...我们进行此DNS查找。
底层的.net框架正在处理此asmx Web服务的XML反序列化/序列化,因此没有代码可在此处进行实际修复。我们不能更改行为权限,因为它在底层框架中?
我们如何为ASMX Web服务修复此XXE漏洞?
谢谢
乔恩·波